Accueil Top 10 des plus gros vols de cryptomonnaies de l’histoire
Actualités sur Blockchain, Opinion, Toute l'actualité

Top 10 des plus gros vols de cryptomonnaies de l’histoire

David Rajaonary
Dernière mise à jour :
vol-crypto
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Ce début de 2023 n’enlèvera certainement pas l’image de “monnaie de singe” que le grand public se fait parfois des cryptomonnaies. Pour le cousin sceptique qui discute de ses finances au dîner de famille, la crypto est ce coin d’Internet où l’on va à coup sûr abandonner ses billes là à des escrocs, là à des rug-pulls, là à des hackers. Hiver crypto ou bull run, il y a en effet quelque chose qui ne change pas : les vols de cryptomonnaies.

Retour sur les 10 crypto-braquages de ces dernières années, classés par l’importance des changements qu’ils ont entraînés dans les pratiques de l’industrie (et non par l’importance du préjudice).

1 – Mt. Gox, le géant aux pieds d’argile (2014)

MT.GOX

  • Préjudice : 850 000 BTC
  • Type d’attaque : Failles de sécurité et mauvaise gestion
  • Attaquant : Inconnu

A l’apogée du premier véritable marché haussier des cryptos, l’exchange dirigé par Mark Karpelès (alias le Baron du bitcoin) brassait jusqu’à 70% des volumes d’échanges en BTC. Malheureusement, dès septembre 2011 la société savait que les clés privées de ses portefeuilles avaient été compromises. Comme Mt Gox réutilisait régulièrement ses adresses Bitcoin, les clés volées étaient constamment utilisées pour voler de nouveaux dépôts, et à la mi-2013, plus de 630 000 BTC avaient déjà été volés sur l’échange.

Plus de 200 000 bitcoins ont été retrouvés dans un “portefeuille oublié”, mais la majorité des fonds volés n’ont jamais été récupérés. Aujourd’hui les liquidateurs s’apprêtent à rendre leurs cryptos aux investisseurs lésés, comme nous le rapportions hier. Cette affaire a marqué au fer rouge la communauté Bitcoin de l’époque, et c’est à peu près à cette période que les premières réflexions sur les preuves de réserves à base d’arbres de Merkle ont émergé. Bybit et Kraken seront les premiers à les publier, dans l’indifférence générale … avant que la faillite de FTX ne remette le concept à la mode.

cryptonaute twitter

2 – Coincheck, piratage record au pays du Levant (2018)

  • Préjudice : 523 millions de NEM (XEM)
  • Type d’attaque : Failles de sécurité dans le stockage des fonds
  • Attaquant : Lazarus APT38

L’échangeur japonais Coincheck était connu pour sa bonne gestion mais une petite erreur lui a coûté un vol colossal de 523 millions de NEM en 2018. La principale faiblesse de sécurité exploitée par les pirates était le stockage des tokens NEM dans un portefeuille chaud, c’est-à-dire connecté à Internet, plutôt que dans un portefeuille froid, isolé et plus sécurisé.

Les attaquants ont réussi à accéder à la clé privée d’un seul portefeuille de Coincheck, leur permettant de transférer les tokens NEM vers leurs propres adresses. Coincheck a suspendu ses activités et a remboursé une majeure partie des utilisateurs affectés grâce à un rachat du courtier Monex Group en avril 2018. Le hack de Coincheck a été le point de départ du cadre réglementaire japonais. Le Japon fut en effet le premier pays à créer un cadre formel pour les plateformes d’échange (un cadre qui a fortement inspiré la BitLicense délivrée par le NYDFS, le régulateur new-yorkais).

3 – Bitfinex, une première pour les tokens IOU (2016)

  • Préjudice : 120 000 BTC
  • Type d’attaque : Faille dans le système de sécurité multisig
  • Attaquant : Inconnu

Bitfinex existe toujours et est est étroitement liée à la société émettrice du plus gros stablecoin du marché, le Tether USD (USDT). Lorsqu’elle était encore basée à Hong Kong, la plateforme a subi une attaque massive et perdu 120 000 BTC en 2016. L’attaque a été rendue possible par l’exploitation d’une faille dans le système de portefeuilles multisig de l’échange. Les portefeuilles multisig (multisignatures) nécessitent plusieurs clés privées pour autoriser une transaction, ce qui devrait en théorie réduire les risques de vol.

Les pirates ont réussi à contourner ce mécanisme de sécurité en exploitant une vulnérabilité dans la manière dont Bitfinex gérait les clés privées en partenariat avec la société de sécurité BitGo. Bitfinex a suspendu temporairement ses activités et a mis en place un plan de remboursement pour ses clients. L’échange a émis des tokens BFX, représentant la dette envers les utilisateurs, qui ont été progressivement rachetés jusqu’en avril 2017. Ce fut la première application d’envergure des tokens IOU (I owe you).

4 – The DAO, à l’origine du schisme Ethereum – Ethereum Classic (2016)

ethereum classic

  • Préjudice : 3,6 millions d’ETH
  • Type d’attaque : Exploitation d’une faille dans le code
  • Attaquant : Inconnu

The DAO fut le premier fonds d’investissement décentralisé basé sur Ethereum. A l’époque il s’agissait d’un projet révolutionnaire visant à créer une organisation décentralisée basée sur la blockchain. En 2016, The DAO a levé l’équivalent de 150 millions de dollars en Ether lors de sa vente de tokens. Cependant, peu de temps après la levée de fonds, un pirate a exploité une faille dans le code du contrat intelligent de The DAO, lui permettant de dérober 3,6 millions d’ETH, alors évalués à environ 50 millions de dollars.

La faille résidait dans la fonction de retrait des fonds. Le pirate n’avait qu’à répéter l’appel de la fonction avant que le solde ne soit mis à jour, permettant un retrait répété sans besoin d’autorisation. Suite à la découverte de l’attaque, la communauté Ethereum a décidé de procéder à un hard fork, créant ainsi deux chaînes distinctes : Ethereum (ETH) et Ethereum Classic (ETC). Le hard fork a permis de récupérer les fonds volés et de les redistribuer. Toutefois, cette décision a été controversée, car elle a soulevé des questions sur l’immuabilité de la blockchain et la philosophie de la décentralisation.

5 – Binance, le point du départ du fameux SAFU de CZ (2019)

  • Préjudice : 7 000 BTC
  • Type d’attaque : Phishing et autres techniques
  • Attaquant : Inconnu

En mai 2019, Binance a été victime d’une attaque très sophistiquée lui faisant perdre 7 000 Bitcoins, alors évalués à environ 40 millions de dollars. Les pirates ont utilisé une combinaison d’ingénierie sociale, de phishing et de techniques de piratage pour accéder aux comptes d’utilisateurs et aux clés API, leur permettant de siphonner les jetons. Les attaquants ont soigneusement préparé l’attaque pendant plusieurs mois, en ciblant les plus gros soldes. Ils ont ensuite exécuté l’attaque en synchronisant les retraits de plusieurs comptes, rendant plus difficile la réaction des ingénieurs de Binance.

Relativement mineur par son importance, cet incident est le point de départ du fameux fonds d’assurance Secure Asset Fund for Users (SAFU) de Binance, aujourd’hui supérieur à 2 milliards de dollars. Le vol a aussi rappelé l’importance de rester vigilant face aux tentatives de phishing et a renforcé l’attention portée à la protection des clés API et des comptes personnels sur les plateformes d’échange de cryptomonnaies.

6 – KuCoin, un modèle de réaction rapide (2020)

  • Préjudice : 281 millions de dollars en diverses cryptomonnaies
  • Type d’attaque : Exploitation d’une faille de sécurité
  • Attaquant : Inconnu

En septembre 2020, l’échangeur basé à Singapour est lui aussi touché. Les pirates ont exploité une faille de sécurité liée aux clés privées des portefeuilles chauds de l’échange. Malgré l’ampleur du vol, KuCoin a réagi rapidement en suspendant immédiatement les dépôts et les retraits. Grâce à l’aide de divers projets blockchain et d’échanges de cryptomonnaies, KuCoin a finalement récupéré près de 85% des fonds volés et a remboursé ses clients.

L’échange a également renforcé ses mesures de sécurité pour éviter de futurs incidents. L’affaire KuCoin a été le point de départ de la coopération entre les différentes parties prenantes du secteur des cryptomonnaies pour lutter contre les acteurs malveillants et sécuriser les fonds des utilisateurs.

7 – Poly Network, l’histoire d’un pirate repenti (2021)

  • Préjudice : 600 millions de dollars en diverses cryptomonnaies
  • Type d’attaque : Exploitation d’une faille dans les contrats intelligents
  • Attaquant : Inconnu

En août 2021, Poly Network est une réussite en matière de cross-chain, permettant le transfert d’actifs entre différentes blockchains. Mais un vol spectaculaire de 610 millions de dollars en diverses cryptomonnaies va anéantir la réputation du protocole. Les pirates ont exploité une faille dans le contrat intelligent du protocole, leur permettant d’accéder aux fonds et de les transférer vers leurs propres adresses.

Ce qui rend cette affaire particulièrement intéressante, c’est la tournure des événements qui a suivi le vol. Après avoir été identifié et contacté par Poly Network, le pirate a finalement accepté de restituer l’intégralité des fonds volés. Dans un message envoyé à Poly Network, l’attaquant a affirmé que son intention était de mettre en évidence les vulnérabilités du protocole plutôt que de s’enrichir personnellement …

8 – NiceHash, la plateforme de minage visée (2017)

  • Préjudice : 4 700 BTC
  • Type d’attaque : Faille de sécurité non divulguée
  • Attaquant : Inconnu

En décembre 2017, NiceHash, une plateforme de minage de cryptomonnaies basée en Slovénie, a subi un vol alors évalué à environ 64 millions de dollars. Les pirates ont réussi à compromettre les comptes d’employés de NiceHash. Ils ont utilisé cette position pour rediriger les paiements des mineurs vers des adresses Bitcoin qu’ils contrôlaient.

La société a rapidement élaboré un plan de remboursement pour les utilisateurs affectés, en utilisant une partie de ses revenus pour compenser les pertes subies par les mineurs. En décembre 2020, NiceHash a annoncé avoir finalisé le remboursement de 100% des fonds volés à ses utilisateurs.

9 – Bancor, le protocole DeFi vulnérable (2018)

bancor

  • Préjudice : 23,5 millions de dollars en diverses cryptomonnaies
  • Type d’attaque : Exploitation d’une faille dans un portefeuille
  • Attaquant : Inconnu

En juillet 2018, Bancor, un échange décentralisé (DEX) basé sur la blockchain Ethereum, était vulnérable sans le savoir en raison de plusieurs failles. Deux pirates réussissent alors à accéder aux clés privées d’un portefeuille “intelligent” utilisé par l’équipe. Plusieurs transferts sont alors initiés : des Ethers (ETH), des Bancor tokens (BNT) et des Pundi X tokens (NPXS).

L’équipe a également travaillé avec d’autres échanges pour identifier et geler les fonds volés. Cet incident fut le premier à mettre en lumière les risques associés aux DEX et à leur gestion des clés privées. Il rappelle l’importance des sociétés d’analyse telles que BlockSec, PeckShield, Chainanalysis et SolidProof.

10 – Ronin, le play-to-earn touché mais pas coulé (2022)

ronin

  • Préjudice : 342 000 ETH
  • Type d’attaque : Transfert non autorisé de fonds
  • Attaquant : Lazarus APT38 (selon le FBI et The Block)

Certainement le piratage le plus élaboré de l’histoire de la blockchain. Il porte la signature du collectif de hackers nord-coréens Lazarus, sponsorisés par l’Etat renégat lui-même. L’équipe technique du jeu Axie Infinity s’est rendu compte du piratage le 29 mars, après qu’un utilisateur a signalé qu’il ne parvenait pas à retirer 5 000 ETH depuis la sidechain Ronin, consacrée au jeu.

Les hackers ont utilisé une offre d’emploi fictive sur LinkedIn pour tromper les employés de Sky Mavis, la société vietnamienne qui gère le jeu Axie Infinity. Après avoir mené plusieurs entretiens d’embauche fictifs, les pirates ont envoyé un PDF contenant une offre d’emploi très généreuse à un ingénieur senior. Lorsque l’ingénieur a cliqué sur le PDF, les pirates ont compromis son ordinateur et ont ensuite pris le contrôle de quatre des neuf nœuds utilisés pour valider les transactions sur la blockchain Ronin de Sky Mavis.

La signature d’Axie DAO permet aux pirates de prendre le contrôle des nœuds nécessaires, et siphoinner 173 600 ETH et 25,5 millions d’USDC. Le jeu a survécu grâce à des injections de capital salvatrices, dont une de 150 millions de dollars menée par Binance en avril 2022.

Sources : Coin Telegraph

Sur le même sujet :

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

David Rajaonary

David Rajaonary

David est analyste financier indépendant, et décrypte chaque dimanche pour vous l’actualité de la crypto et de la finance de la semaine. Il écrit régulièrement quelques papiers pour analyser des acteurs clés de la DeFi, des stablecoins et des monnaies numériques de banques centrales.

Diplômé en Finance et Comptabilité, David exerce depuis 10 ans dans l’Audit, le Conseil en management et l’Analyse financière. Ses premiers pas dans la crypto datent de 2020, avec l’étude de projets de monnaies numériques de banque centrale (MNBC) et de registres distribués (blockchains privées).

Depuis, David écrit régulièrement sur la percée des projets Ripple (XRP), Stellar Lumens (XLM) et Chainlink (LINK). Dans ses articles, il vous montre comment ces projets blockchain s’immiscent et transforment silencieusement le monde bancaire et celui de l'investissement.

Paiements transfrontaliers, transferts d’argent, bancarisation des populations vulnérables, prêts, tokénisation de titres financiers, tokénisation de biens immobiliers, lutte contre la fraude, sécurité … sont le fil conducteur de ses articles.

(Petit disclaimer : il s’exprime à titre personnel et son traitement de l’actualité ne constitue en rien des conseils d’investissement, ni des incitations à acheter ou à vendre des cryptomonnaies. Les prises de position, critiques et conclusions sont établies toujours dans le respect des principes d’éthique et de transparence journalistiques)

Quand il ne rédige pas sur la crypto, David aime explorer l’histoire de l’Art africain et des civilisations arabes.

Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram

Cryptonaute.fr fournit des informations de qualité supérieure à travers des guides pédagogiques financiers et des tutoriels vidéo sur la façon d’acheter des actions et d’investir en bourse. Nous comparons les meilleurs fournisseurs ainsi que des informations approfondies sur leurs offres de produits. Nous ne conseillons ni ne recommandons aucun fournisseur, mais nous sommes là pour permettre à notre lecteur de prendre des décisions éclairées sous leur propre responsabilité. Les contrats sur la différence (« CFD ») sont des produits à effet de levier et comportent un risque important de perte pour votre capital. Jusqu’à 67% des comptes d’investisseurs particuliers perdent de l’argent lorsqu’ils négocient avec les courtiers présents sur ce site. Veuillez vous assurer de bien comprendre les risques et demander des conseils à des professionnels indépendants. En continuant à utiliser ce site Web, vous acceptez notre politique de confidentialité.

© cryptonaute.fr

Tous droits réservés – 2017 – 2024